一、单选题
1、关于GB/T22080-2016/ISO/IEC27001:2013标准,下列说法错误的是()。
A、标准可被内部和外部各方用于评估组织的能方是否满足自身的信息安全要求
B、标准中所表述要求的顺序反映了这些要求要予实现的顺序
C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中
D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性
2、()是建立有效的沐算机病毒防御体系所需要的技术措施。
A、补丁管理系统、网络入侵检测和防火墙
B、漏洞扫描、网络入侵检测和防火墙
C、漏洞扫描、补管理系统和防火墙
D、网络入侵检测、防病毒系统和防火墙
3、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()。
A、业务要求变更
B、合同义务变更
C、安全要求的变更
D、以上都不对
4、组织应()。
A、对信息按照法律要求、价值、重要性及其对授权泄露或修改的敏感性进行分级
B、对信息按照制度要求、价值、有效性及其对授权泄露或修改的敏感性进行分级
C、对信息按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级
D、对信息按照制度要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级
5、《中华人民共和国密码法》规定了国家秘密的范围和密级,国家秘密的密级分为()。
A、普密、商密两个级别
B、低级和高级两个级别
C、绝密、机密、秘密三个级别
D、一密、二密、三密、四密四个级别
6、创建和更新文件化信息时,组织应确保适当的()。
A、对适宜性和有效性的评审和批准
B、对充分性和有效性的测量和批准
C、对适宜性和充分性的测量和批准
D、对适宜性和充分性的评审和批准
7、根据GB/T22080-2016/ISO/IEC27001:2013标准,以下做法不正确的是()。
A、保留含有敏感信息的介质的处置记录
B、离职人员自主删除敏感信息的即可
C、必要时釆用多路线路供电
D、应定期检查机房空调的有效性
8、下面哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析
9、当操作系统发生变更时,应对业务的关键应用进行()以确保对组织的运行和安全没有负面影响。
A、隔离和迁移
B、评审和测试
C、评审和隔离
D、验证和确认
10、()是风险管理的重要一环。
A、管理手册
B、适用性声明
C、风险处置计划
D、风险管理程序
11、风险评价是指()。
A、系统地使用信息来识别风险来源和评估风险
B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程
C、指导和控制一个组织相关风险的协调活动
D、以上都对
12、关于GB/T22081标准,以下说法正确的是()。
A、提供了选择控制措施的指南,可用作信息安全管理体系认证的依据
B、提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据
C、提供了信息安全风险评估的指南,是ISO/IEC27001的构成部分
D、提供了信息安全风险评估的依据,是实施ISO/IEC27000的支持性标准
13、TCP/IP协议层次结构由()。
A、网络接口层、网络层组成
B、网络接口层、网络层、传输层组成
C、网络接口层、网络层、传输层和应用层组成
D、都不对
14、()属于管理脆弱性的识别对象。
A、物理环境
B、网络结构
C、应用系统
D、技术管理
15、漏洞检测的方法分为()。
A、静态检测
B、动态测试
C、混合检测
D、以上都是
16、GB17859-1999提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求。
A、2
B、3
C、5
D、7
17、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()。
A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
18、关于容量管理,以下说法不正确的是()。
A、根据业务对系统性能的需求,设置阈值和监视调整机制
B、针对业务关键性,设置资源占用的优先级
C、对于关键业务,通过放宽阈值以避免或减少报警的干扰
D、依据资源使用趋势数据进行容量规划
19、当发现不符合项时,组织应对不符合作出反应,适用时()。
A、采取措施,以控制并予以纠正
B、对产生的影响进行处理
C、分析产生原因
D、建立正措施以避免再发生
20、访问控制是指确定()以及实施访问权限的过程。
A、用户权限
B、可给予哪些主体访问权利
C、可被用户访问的资源
D、系统是否遭受入侵
21、风险处置是()。
A、识别并执行措施来更改风险的过程
B、确定并执行措施来更改风险的过程
C、分析并执行措施来更改风险的过程
D、选择并执行措施来更改风险的过程
22、关键信息基础设施的运营者釆购网络产品和服务,应当按照规定与提供者签订()协议,明确安全和保密义务与责任。
A、安全保密
B、安全保护
C、安全保障
D、安全责任
23、对于信息安全方针,()是ISO/IEC27001所要求的。
A、信息安全方针应形成文件
B、信息安全方针文件为公司内部重要信息,不得向外部泄露
C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义
D、信息安全方针是建立信息安全工作的总方向和原则,不可变更
24、关于投诉处理过程的设计,以下说法正确的是()。
A、投诉处理过程应易于所有投诉者使用
B、投诉处理过程应易于所有投诉响应者使用
C、投诉处理过程应易于所有投诉处理者使用
D、投诉处理过程应易于为投诉处理付费的投诉者使用
25、依据GB/T29246,控制目标指描述控制的实施结果所要达到的目标的()。
A、说明
B、声明
C、想法
D、描述
26、关于信息安全管理中的“脆弱性”,以下正确的是()。
A、脆弱性是威胁的<种,可以导致信息安全风险
B、网络中“钓鱼”软件的存在,是网络的脆弱性
C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性
D、以上全部
27、过程是指()。
A、有输入和输出的任意活动
B、通过使用资源和管理,将输入转化为输出的活动
C、所有业务活动的集合
D、以上都不对
28、关于信息系统登录的管理,以下说法不正确的是()。
A、网络安全等级保护中,三级以上系统需釆用双重鉴别方式
B、登录失败应提供失败提示信息
C、为提高效率,可选择保存鉴别信息的直接登录方式
D、使用交互式管理确保用户使用优质口令
29、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()。
A、国家经营
B、地方经营
C、许可制度
D、备案制度
30、审核发现是指()。
A、审核中观察到的事实
B、审核的不符合项
C、审核中收集到的审核证据对照审核准则评价的结果
D、审核中的观察项
31、确定资产的可用性要求须依据()。
A、授权实体的需求
B、信息系统的实际性能水平
C、组织可支付的经济成本
D、最高管理者的决定
32、关于信息安全管理体系认证,以下说法正确的()。
A、负责作出认证决定的人员中应至少有一人参与了审核
B、负责作出认证决定的人员必须是审核组组长
C、负责作出认证决定的人员不应参与审核
D、负责作出认证决定的人员应包含参与了与审核的人员
33、监督、检查、指导计算峭,息^说安全保护工作是()对计算机信息系统安全保护履行法定职责之一。
A、电信管理机构
B、公安机关
C、国家安全机关
D、国家保密局
34、数字签名可以有效对付哪一类信息安全风险?()
A、非授权的阅读
B、盗窃
C、非授权的复制
D、篡改
35、信息安全残余风险是()。
A、没有处置完成的风险
B、没有评估的风险
C、处置之后仍存在的风险
D、处置之后没有报告的风险
36、局域网环境下与大型计算机环境下的本地备份方式在()方面有主要区别。
A、主要结构
B、容错能力
C、网络拓扑
D、局域网协议
37、下列措施中不能用于防止非授权访问的是()。
A、釆取密码技术
B、釆用最小授权
C、釆用权限复查
D、釆用日志记录
38、下面哪一种环境控制措施可以保护计算机不受短期停电影响?()
A、电力线路调节器
B、电力浪涌保护设备
C、备用的电力供应
D、可中断的电力供应
39、信息安全基本属性是()。
A、保密性、完整性、可靠性
B、保密性、完整性、可用性
C、可用性、保密性、可能性
D、稳定性、保密性、完整性
40、下列哪项不是监督审核的目的?()
A、验证认证通过的ISMS是否得以持续实现
B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化
C、确认是否持续符合认证要求
D、作出是否换发证书的决定
41、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()。
A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘
B、划分信息载体所属的职能以便于明确管理责任
C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
42、一个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运行和威胁信息安全的极大可能性。
A、已经发生
B、可能发生
C、意外
D、A+B+C
43、信息处理设施的变更管理包括()。
A、信息处理设施用途的变更
B、信息处理设施故障部件的更换
C、信息处理设施软件的升级
D、其他选项均正确
44、依据《中华人民共和国网络安全法》,以下说法不正确的是()。
A、网络安全应采取必要措施防范对网络的攻击和侵入
B、网络安全措施包括防范对网络的破坏
C、网络安全即釆取措施保护信息在网络中传输期间的安全
D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护
45、依据GB/T 22080/ISO/IEC27001的要求,管理者应()。
A、制定ISMS目标和计划
B、实施ISMS管理评审
C、决定接受风险的准则和风险的可接受级别
D、其他选项均不正确
46、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素()。
A、其产品/过程无风险或有低的风险
B、客户的认证准备
C、仅涉及单一的活动过程
D、具有高风险的产品或过程
47、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略,以下正确的是()。
A、网络管理员可以通过telnet在家里远程登录、维护核心交换机
B、应关闭服务器上不需要的网络服务
C、可以通过防病毒产品实现对内部用户的网络访问控制
D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制
48、以下对GB/T22081-2016/ISO/IEC27002:2013标准的描述,正确的是()。
A、该标准属于要求类标准
B、该标准属于指南类标准
C、该标准可用于一致性评估
D、组织在建立ISMS时,必须满足该标准的所有要求
49、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
A、确定
B、制定
C、落实
D、确保
50、依法负有网络网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的()严格保密,不得泄露,出售或非法向他人提供。
A、个人信息
B、隐私
C、高业秘密
D、全部正确
二、多选题
51、关于鉴别信息保护,正确的是()。
A、使用QQ传递鉴别信息
B、对新创建的用户,应提供临时鉴别信息,并强制初次使用时需改变鉴别信息
C、鉴别信息宜加密保存
D、鉴别信息的保护可作为任用条件或条款的内容
52、以下属于访问控制的是()。
A、开发人员登录SVN系统,授予其与职责相匹配的访问权限
B、防火墙基于IP过滤数据包
C、核心交换机根据IP控制对不同VLAN间的访问
D、病毒产品查杀病毒
53、风险评估过程一般应包括()。
A、风险识别
B、风险分析
C、风险评价
D、风险处置
54、设计一个信息安全风险管理工具,应包括如下模块()。
A、资产识别与分析
B、漏洞识别与分析
C、风险趋势分析
D、信息安全事件管理流程
55、某金融服务公司为其个人注册会员提供了借资金和贷款服务,以下不正确的做法是()。
A、公司使用微信群会议,对申请借贷的会员待缘资料、借贷额度等进行讨论评审
B、公司使用微信群发布公司内部投资策略文件
C、公司要求所有员工签署NDA,不得泄会员背景及具体借贷项目信息
D、公司要求员工不得向朋友圈转发其微信群会议上讨论的信息
56、撤销对信息和信息处理设施的访问权针对的是()。
A、组织雇员离职的情况
B、组织雇员转岗的情况
C、临时任务结束的情况
D、员工出差
57、根据《中华人民共和国保守国家秘密法》,下列属于国家秘密的是()。
A、国家事务重大决策中的秘密事项的
B、国民经济和社会发展中的秘密事项
C、科学技术中的秘密事项
D、国防建设和武装力量活动中的秘密事项
58、关于审核委托方,以下说法正确的是()。
A、认证审核的委托方即受审核方
B、受审核方是第一方审核的委托方
C、受审核方的行政上级作为委托方时是第二方审核
D、组织对其外包服务提供方的审核是第二方审核
59、在信息安全事件管理中,()是所有员工应该完成的活动。
A、报告安全方面的漏洞或弱点
B、对漏洞进行修补
C、发现并报告安全事件
D、发现立即处理安全事件
60、下列属于“开发安全”活动的是()。
A、应规范用户修改软件包,必须的修改应严格管制
B、应用系统若有变更,应进行适当审核与测试
C、软件应尽量采用自行开发避免外包或釆购
D、软件的采购应注意其是否内藏隐密通道及特洛依木马程序
61、风险评估过程中威胁的分类一般应包括()。
A、软硬件故障、物理环境影响
B、无作为或操作失误、管理不到位、越权或滥用
C、网络攻击、物理攻击
D、泄密、篡改、抵赖
62、审核计划中应包括()。
A、本次及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
63、下列说法正确的是()。
A、残余风险需要获得风险责任人的批准
B、适用性声明需要包含仍要的控制及其选择的合理性说明
C、所有的信息安全活封都必须有记录
D、组织控制下的员工应了解信息安全方针
64、关于信息安全风险自评估,下列选项正确的是()。
A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估
B、周期性的自评估可以在评估流程上适当简化
C、可由发起方实施或委托风险评估服务技术支持方实施
D、人由信息系统上级管理部门组织的风险评估
65、为控制文件化信息,适用时,组织应强调以下哪些活动?()
A、分发,访问,检索和使用
B、存储和保护,包括保持可读性
C、控制变更(例如版本控制)
D、保留和处理
66、以下属于“关键信息基础设施”的是()。
A、输配电骨干网监控系统
B、计算机制造企业IDC供电系统
C、高等院校网络接入设施
D、高铁信号控制系统
67、《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活动,提高产品、服务的(),促进经济和社会的发展。
A、质量
B、数量
C、管理水平
D、竞争力
68、以下做法正确的是()。
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
69、《互联网信息服务管理办法》中对()。
A、新闻、出版
B、医疗、保健
C、知识类
D、教育类
70、《中华人民共和国网络安全法》适用于在中华人民共和国境内()网络,以及网络安全的监督管理。
A、建设
B、运营
C、维护
D、使用
三、判断题
71、组织应识别并提供建立、实现、维护和持续改进信息安全管理体系所需的资源()。
A 正确
B 错误
72、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者()。
A 正确
B 错误
73、IT系统日志保存所需的资源不属于容量管理的范围()。
A 正确
B 错误
74、审核组长在末次会议中应该对受审核方是否通过认证给出结论()。
A 正确
B 错误
75、拒绝服务攻击包括消耗目标服务器的可用资源和/或消耗网络的有效带宽()。
A 正确
B 错误
76、在信息安全领域,“安全级别”的成份与敏感信息访问的控制密切相关()。
A 正确
B 错误
77、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全()。
A 正确
B 错误
78、敏感信息通过网络传输时必须加密处理()。
A 正确
B 错误
79、组织应适当保留信息安全目标文件化信息()。
A 正确
B 错误
80、审核组可以由一个人组成()。
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
